Araştırmacılar, kimlik doğrulama olmadan erişilebilen ve kullanılabilen ve tehdit aktörlerinin dahili ağlara kolay erişmesine izin veren en az 9.000 açıkta kalan VNC (sanal ağ bilgi işlem) uç noktası keşfetti.
VNC (sanal ağ bilgi işlem), kullanıcıların izleme ve ayarlama gerektiren sistemlere bağlanmasına yardımcı olmak için tasarlanmış, bir ağ bağlantısı üzerinden RFB (uzak çerçeve arabellek protokolü) aracılığıyla uzak bir bilgisayarın kontrolünü sunan, platformdan bağımsız bir sistemdir.
Bu uç noktalar, genellikle ihmal, hata veya kolaylık sağlamak için alınan bir kararın sonucu olan bir parola ile düzgün bir şekilde güvence altına alınmazsa, kötü niyetli tehdit aktörleri de dahil olmak üzere yetkisiz kullanıcılar için giriş noktaları olarak hizmet edebilirler.
Açıkta kalan VNC’lerin arkasında hangi sistemlerin bulunduğuna bağlı olarak, örneğin, su arıtma tesislerierişimin kötüye kullanılmasının sonuçları tüm topluluklar için yıkıcı olabilir.
endişe verici bulgular
Cyble’daki güvenlik zayıflığı avcıları, şifresiz internete açık VNC örnekleri için web’i taradı ve 9.000’den fazla erişilebilir sunucu buldu.
Maruz kalan örneklerin çoğu Çin ve İsveç’te bulunurken, ABD, İspanya ve Brezilya önemli miktarda korumasız VNC ile ilk 5’i takip etti.
Daha da kötüsü, Cybcle bu açık VNC örneklerinden bazılarının, asla İnternet’e maruz bırakılmaması gereken endüstriyel kontrol sistemleri için olduğunu buldu.
Cyble, “Araştırma sırasında araştırmacılar, VNC aracılığıyla birbirine bağlanan ve internet üzerinden açığa çıkan birden fazla İnsan Makine Arayüzü (HMI) sistemini, Denetleyici Kontrol ve Veri Toplama Sistemlerini (SCADA), İş İstasyonlarını vb. daraltmayı başardılar.” raporda.
Araştırılan durumlardan birinde, açıkta kalan VNC erişimi, adsız bir üretim birimindeki uzak bir SCADA sistemindeki pompaları kontrol etmek için bir HMI’ye yol açtı.
Saldırganların VNC sunucularını ne sıklıkla hedeflediğini görmek için Cyble, VNC için varsayılan bağlantı noktası olan 5900 numaralı bağlantı noktasına yapılan saldırıları izlemek için siber istihbarat araçlarını kullandı. Cyble, bir ay içinde altı milyondan fazla istek olduğunu tespit etti.
VNC sunucularına erişim girişimlerinin çoğu Hollanda, Rusya ve Amerika Birleşik Devletleri kaynaklıdır.
VNC erişimi talebi
Hacker forumlarında kritik ağlara açık veya kırılmış VNC’ler aracılığıyla erişim talebi yüksektir, çünkü bu tür bir erişim belirli koşullar altında daha derin ağ sızması için kullanılabilir.
Bir Cyble araştırmacısı, özel bir tartışma sırasında Bleeping Computer’a verdiği demeçte, “Düşmanlar, oturum açan kullanıcı olarak belgeleri açma, dosyaları indirme ve rastgele komutları çalıştırma gibi kötü niyetli eylemler gerçekleştirmek için VNC’yi kötüye kullanabilir.”
“Bir düşman, ağ içindeki diğer sistemlere dönmek için veri ve bilgi toplamak için bir sistemi uzaktan kontrol etmek ve izlemek için VNC’yi kullanabilir.”
Diğer durumlarda, güvenlik meraklıları, kullanıcıların açıkta kalan bu örnekleri kendi başlarına nasıl tarayabilecekleri ve bulabilecekleri konusunda talimatlar sunar.
Bleeping Computer tarafından görülen bir darknet forum gönderisi, çok zayıf veya hiç parola içermeyen, açıkta kalan VNC örneklerinin uzun bir listesini içerir.
Cyble’ın araştırması yalnızca kimlik doğrulama katmanının tamamen devre dışı bırakıldığı örneklere odaklandığından, zayıf parolalar durumu VNC güvenliğiyle ilgili başka bir endişe uyandırıyor.
Parolaları kolayca kırılabilen, güvenliği zayıf sunucular araştırmaya dahil edilirse, potansiyel olarak savunmasız örneklerin sayısı çok daha önemli olacaktır.
Bu açıdan, birçok VNC ürününün sekiz karakterden uzun parolaları desteklemediğini, dolayısıyla oturumlar ve parolalar şifrelendiğinde bile doğal olarak güvensiz olduklarını hatırlamak önemlidir.
VNC yöneticilerine, sunucuları hiçbir zaman doğrudan İnternet’e maruz bırakmamaları ve uzaktan erişilebilir olmaları gerekiyorsa, sunuculara güvenli erişimi sağlamak için en azından bir VPN arkasına yerleştirmeleri önerilir.
O zaman bile, yöneticiler VNC sunucularına erişimi kısıtlamak için her zaman örneklere bir parola eklemelidir.